Минкомсвязи подготовило требования к оборудованию СОРМ для интернет-провайдеров



    Думаю, на Хабре практически все знают, что такое СОРМ. Если нет, то вот расшифровка этой краткой аббревиатуры: «Система технических средств для обеспечения функций оперативно-розыскных мероприятий». Немного больше информации можно получить вот здесь. Так вот, до настоящего момента не существовало официальных требований к оборудованию для проведения СОРМ в отношении интернет-провайдеров. Ранее, несколько лет назад, были введены требования к оборудованию для проведения СОРМ отношении операторов телефонной и радиотелефонной связи. На днях были сформулированы требования к оборудованию и для интернет провайдеров.

    Эти требования собраны в III части Приказа, пока что эта часть является проектом. Что касается I и II частей, то они, как говорилось выше, вышли из стадии проекта еще несколько лет назад.

    В данном проекте указываются требования к оборудованию и программному обеспечению, требования, которые нужны для проведения СОРМ. Кроме всего прочего, в этом проекте содержится и список интернет-сервисов, которые подлежат контролю со стороны СОРМ. В число таких сервисов входят всем известные mail.ru; yandex.ru; rambler.ru; gmail.com; yahoo.com. apport.ru; rupochta.ru hotbox.ru, ICQ и некоторые другие сервисы.

    В случае принятия проекта приказа он должен вступить в силу (а значит, провайдеры обязаны будут установить или модернизировать соответствующее оборудование и ПО) до 1 июля 2014 года.

    Какие могут быть проблемы у провайдера, который не выполнит необходимые действия? Вот цитата:

    «Невыполнение этого требования может повлечь наложение на оператора связи административного наказания за несоблюдение лицензионных условий на основании ст. 14.1. КоАП РФ, поскольку одним из лицензионных условий большинства лицензий о связи является реализация требований к сетям и средствам связи при проведении оперативно-розыскных мероприятий. Невыполнение указанных требований также может повлечь принятие решения лицензирующим органом – Роскомнадзором — о приостановлении действия выданной оператору лицензии, а также об аннулировании этой лицензии».

    Via tza
    Метки:
    Поделиться публикацией
    Комментарии 96
    • 0
      Ну mail.ru и иже с ними прогнутся, а буржуйские сопротивленцы типа gmail.com, которым это дело до лампочки, будут просто блочиться провайдером… Все будут пользоваться vpn да otr.
      • –2
        vpn будет блочится.
        • +4
          А как они будут отличать мой рабочий vpn от моего vpn-обходилки-запретов?
          Или просто тупо запретят vpn на все адреса, а разрешать будут по специальной бумажке?
          • 0
            Будут по бумажке, а вы должны будете обосновать. Что странного?
            Блочат же vpn в некоторых странах.
            • 0
              Ну да. В принципе и инетрет по паспорту могут сделать.
              • 0
                Строго говоря, он и так по паспорту же.
                • +3
                  Нет, выход в интернет не по паспорту. Подключение наверное да.
            • 0
              По бумажке легальный, а через него — второй не очень легальный, не?
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            https уязвим для man-in-the-middle аттак.
            • 0
              Не верю. Каким образом?
            • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Насколько я понимаю только в том случае если пользователь проигнорирует предупреждение о левом сертификате, либо же если у Человека-Посередине есть другой валидный сертификат ( например есть доступ к одному из Trusted Root и он может подписывать что хочет ).
      • +8
        Немного путаете «мягкое» и «теплое». Видимо, речь идет о том, чтобы все провайдеры автоматически контролировали перечисленные сервисы, а не сами компании-владельцы этих сервисов ставили у себя СОРМ. Некоторые (типа gmail.com) вообще нерезиденты и не могут иметь лицензий связи. СОРМ — это избирательный контроль. Или Вы думаете, установив оборудование СОРМ, оператор пишет и сканирует все данные? Это чисто технически невозможно. Да и другие цели-задачи у СОРМ.
        • 0
          Ненене, разумеется провайдеры, а не компании. Но провайдеры не смогут это сделать по отношению к допустим gmail, и чтобы соблюсти закон — заблочат. Ну а мэйлрушечки предоставят провайдерам особый доступ.
          • –7
            Почему не смогут? Они сидят на канале и могут слушать что угодно. Доступ к самому gmail даже не нужен
            • НЛО прилетело и опубликовало эту надпись здесь
              • +4
                Впрочем, может быть много гигов белого шума тоже сойдет за «ну вот, мы же выполняем инструкции» :)
              • НЛО прилетело и опубликовало эту надпись здесь
                • НЛО прилетело и опубликовало эту надпись здесь
                • –1
                  (удалено)
              • +11
                Ростелеком уже отрабатывает реализацию MitM на своих сетях. И для списка запрещенный сайтов уже внедрил ее. Так что никакой проблемы, кроме того что техподдержка будет объяснять пользователям, что поддельный сертификат — это норма, не будет.
                • 0
                  Может вы про ru.wikipedia.org/wiki/Deep_packet_inspection? В любом случае алерт на поддельный сертификат для образованных будет маячком.
                  • +6
                    Нет, я именно про MitM. Именно так называется атака на SSL, когда подменяется сертификат, что делает возможным чтение SSL трафика. В случае если доверенные центры сертификации адекватны, то они не будут давать провайдерам поддельные сертификаты для того-же gmail, но тогда никто не мешает провайдеру подсовывать не доверенный сертификат и через техподдержку объяснять клиентам, что это норма.

                    И первая часть, в виде левых сертификатов, в рунете уже успешно наблюдается, о чем кстати я писал в COMODO, чей сертификат использовали для других сайтов. COMODO обещали разобраться, легально ли это или это MitM, правда пока молчат…
                    • 0
                      Да, к сожалению вы правы… не знал о такой наглости ростелекомовцев. пруф
                      • 0
                        Где вы там нашли MiTM и подмену сертификата? По той ссылке открывается сайт ростелекома по IP ростелекома с сертификатом ростелекома. Ничего удивительного, что COMODO никак не реагирует.
                        • 0
                          Уважаемый, у вас урл в адресной строке поменялся? У меня нет. Значит я вижу по оригинальному урлу измененное сожержимое (после принятия фэйкового сертификата). И это мне совершенно не нравится. Если был бы редирект на сайт ростелекома — претензий нет.
                          • +1
                            Для этого урл — это и есть оригинальное содержимое.
                            Хотите нормальный пример — кавказ-центр, соединение на его ip 141.101.121.14-141.101.121.18 заворачивает на себя.
                        • 0
                          COMODO вообще-то отреагировали и один из их дополнительных вопросов был, что было в адресной строке и какой контент, если согласится с поддельным сертификатом. После уточнения пока молчат…

                          А по формальным признакам это самый настоящий MitM, так как адрес в адресной строке целевого сайта, а сертификат и контент поддельный.
                          На счет строго домена самиздата я не знаю что там должно быть, но такая ситуация наблюдалась, например, на заблокированных адресах wordpress.com.
                      • 0
                        У меня недавно было странное, читал какую-то статью на Хабре, и тут вылезло
                        такое чудо

                        Видимо, кто-то что-то вставил с левого сайта, и пошло обращение.Сразу неладное заподозрил и заскриншотил, а оно вон оказывается что… мнда.
                    • +1
                      Означает ли это, что без использования VPN нельзя будет установить безопасное SSL-соединение? Т.е. если я захочу почитать почту по https или защищенный IMAP, но увижу поддельный сертификат, то у меня только один вариант — не логиниться в почту, а соединение без MitM просто так установить не удастся, правильно я понимаю?
                      • 0
                        Правильно. Причем самое интересное, что MitM атака — это перенаправление трафика на подконтрольный атакующему узел, который выступает в виде «прокси» между тобой и ресурсом. И попутно пишет инфу которую ты отсылаешь/смотришь. Вопрос № 1 — почему нельзя сделать редирект от открытой vpn точки на подконтрольную провайдеру с провайдерского же оборудования? И вопрос № 2 — если вы решили обеспечить себе безопасность от «государственной слежки» и соединяетесь по VPN c узлом где-нибудь в Боливии, почему вы уверены, что этот узел не станет точно так же сохранять вашу регистрационную информацию в gmail? VPN совсем не панацея. TOR — надежнее, но он точно так же поддается перехвату трафика на exit node. И да, если уж быть совсем пессимистами, что мешает встроить функции кейлоггера в GuardMail.ru или в Яндекс-браузер?
                        • +1
                          Ну я думал над этим. Самый просто вариант — купить микро-сервер на том же Amazon Cloud. Поднять там свой впн-сервер. С двусторонней аутентификацией. Амазону я пока доверую больше, чем серверам в Эквадоре и Боливии :)
                  • 0
                    ну вот маякнули у меня все браузеры (кроме хрома).
                    захожу на https://youtube.com — и браузеры ругаются, что соединение подписано сертификатом, который выдан на этот самый ip-адрес, но от имени моего провайдера, CN=squid.mosnet.ru, O=MOSNET (Моснет, он же IMSYS)
                    и что мне делать?
                    менять провайдера?
                    жаловаться?
                    писать заявление ментам с требованием проверить, являются ли данные действия законными?
    • +5
      Вот интересно.

      minsvyaz.ru/common/upload/Proekt_prikaza_o_pravilakh_ot_29.03.13.pdf

      4.
      Технические средства ОРМ обеспечивают:
      4.1 Подключение к сети передачи данных с использованием не менее одного из интерфейсов, перечень которых приведен в приложении No 1 к Правилам.


      4.10. Запись и остановку записи по команде с ПУ всех пакетов данных, поступающих на интерфейсы подключения к сети передачи данных, на внутреннее устройство записи в режиме кольцевого буфера размером, обеспечивающим хранение данных за период не менее 12-ти часов.


      Перечень интерфейсов, используемых для доступа технических средств ОРМ к передаваемой в сети передачи данных информации
      1. Интерфейсы с использованием контроля несущей и обнаружением коллизий:
      оптические интерфейсы 10GBASE-S;
      оптические интерфейсы 10GBASE-L;
      оптические интерфейсы 10GBASE-E;
      оптические интерфейсы 10GBASE-LX4;
      электрические интерфейсы 10GBASE-CX4;


      То есть коробочка СОРМ должна хранить полный дамп десятигигабитного потока за 12 часов?! 10Гбит/с*3600с/ч*12ч/8=54000 Гбайт!

      Это как, простите??
      • 0
        не так. Прочитайте мой комментарий выше. Главная фраза в Ваших цитатах: «Запись и остановку записи по команде с ПУ». То есть запись идет только с пульта!
        • +1
          Исходя из приведенных формулировок, устройство СОРМ должно иметь возможность по команде с ПУ включить запись на внутреннее устройство, записывать на это внутреннее устройство до 12 часов траффика и по команде с ПУ прекратить запись.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Внутри там вроде бы более-менее типовой сниффер (а'ля tcpdump/tshark) с какими-то обвесами и удалённым управлением, никаких чудес. ОС — Linux или FreeBSD.

          Конечно, данные девайсы не рассчитаны на перехват и запись всего потока данных (хотя если он небольшой, то, думаю, реально), только выборочно по заданным критериям.
          • 0
            где-то встречал заметку одних из многих производителей оборудования СОРМ, кажись ОМЕГА называется. да, внутри фрея и простой сниффер (все зависит от мощности) + консоль на пхп. все это сертифицировано по типу ОС МСВС( rhel 5 изувеченный НИИ ВЦ для вояк) и никогда не обновляемо. девайсы расчитаны на перехват всего трафика, для этого там стоят внушительные массивы, ибо 80% времени, как я понял, они переваривают инфу и готовят отчет по типу «абонент А звонил абоненту Б время, длительность», большего собственно не нужно. к слову это уликами все равно не считается, по закону.
            • 0
              к слову это уликами все равно не считается, по закону.

              А это и не улики, это оперативная деятельность.
              К примеру, узнали оперативники, что абонент А — член террористической ячейки, но мелкий. Начинают пасти его связи, чтобы выйти на рыбку покрупнее и т.д.
              А вот когда кого-то из верхушки подцепят, тогда и слежка, и скрытая аудио/видео съемка, и внедрение агентов… и кто знает что ещё для сбора уже законных улик.
            • 0
              готовят отчет по типу «абонент А звонил абоненту Б время, длительность»

              А смысл? Операторы/провайдеры и так обязаны хранить логи сессий года эдак 3 как минимум. Задача СОРМ здесь скорее уже в выцеплении определённого траффика, если есть конкретные наводки.
              • +1
                Сейчас всё ещё хуже. Операторы связи заворачивают трафик на специальные дата-центры. Пасут и отдельных людей и контрольные слова обрабатывают.
                Такую же схему, но с меньшими затратами хотят реализовать для интернета. Посетил коммунистическую группу вконтактике или написал твит о болотной — на «прослушку», в рамках расследования…
                • 0
                  Операторы связи заворачивают трафик на специальные дата-центры

                  Где почитать на тему?
                  • +1
                    Для начала можно посмотреть приказы минкомсвязи, связанные с СОРМ-2, например этот.
                    В приложении говорится:
                    3. Сеть передачи данных обеспечивает техническую возможность передачи на пункт
                    управления ОРМ следующей информации…

                    б) передаваемой в контролируемом соединении и (или) сообщении электросвязи, включая
                    информацию, связанную с обеспечением процесса оказания услуг связи в том виде и
                    последовательности, в которых такая информация поступала с пользовательского
                    (оконечного) оборудования или из присоединенной сети связи;

                    Краткий пересказ — обеспечить заворачивание трафика по учётке из radius/diametr.
                    Т.е. любой абонент может прослушиваться без ведома оператора с полным перехватом трафика. Формально требуется решение суда для, но нет технических возможностей это контролировать из-за «случайной» непродуманности СОРМ-2.

                    Из опыта товарищей — центр «Э» слушают не стесняясь и отслеживают передвижения (знакомые анархи растяжки вешали антибуржуазные и эшники их пасли, по идеологическим соображениям).

                    Тему про дата-центры сейчас не нашёл, году в 2008 были новости о строительстве в Питере пары таких.
      • +1
        Однин трехюнитовый сервер с 16 трехтерабайтниками.
        • +4
          Этаж сколько можно бабла распилить!
          • +3
            Ну, килобаксов 10 стоить будет такой сервер.
            • НЛО прилетело и опубликовало эту надпись здесь
              • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Не, новых винчестеров не надо. Написано же — кольцевой буфер. После заполнения можно записывать с начала.
                Но всё равно дофига.
                • НЛО прилетело и опубликовало эту надпись здесь
        • +3
          И какие нужны терабайтники, чтобы писать траффик с реальной скоростью 10 ГБит/с?
          • 0
            А это задача контроллера — распараллелить.
            • 0
              А снимать информацию медленно и уныло, отключив запись?
              ИМХО всё равно маловато будет одного сервера на 10-гигабитный канал, каким бы ни был он мощным.
              • 0
                Зачем отключать? Снимать весь дамп вряд ли потребуется — зачем может понадобиться трафик вообще всех абонентов? Кусок с нужной частью дампа исключается на время из цикла и спокойно сливается. Можно и разделить, но не уверен, что будет дешевле и намного лучше.
                • 0
                  Весь дамп не потребуется. Но вряд ли данные такого объёма можно за приемлемое время профильтровать без мало-мальски сносного индексирования. Это ещё прибавляет и загрузки, и необходимого пространства.
                  • 0
                    Индексировать по сессиям. Впрочем, навскидку сложно определить, насколько это прибавит работы.
                    • 0
                      Надо полагать, в этом раскладе серверу придётся ещё и запоминать каждую сессию, диагностировать аварийные разрывы соединений и т. п. Мне кажется, проще слить траффик за некоторый период по конкретному IP-адресу и (если надо) порту на другую машину и там уже спокойно его анализировать, не грузя записывающую технику и её каналы связи. Но тут действительно трудно сказать, насколько будет сложной работа по сессиям.
      • +3
        Если конечно будет 10 Гбит/с такого трафика…
        Вниматильнее прочитайте тогда этот пункт:
        4.4. Обработку всех пакетов данных, поступающих на интерфейсы
        подключения технических средств ОРМ к сети передачи данных, с целью
        записи в кольцевой буфер, отбора и передачи на ПУ информации,
        относящейся к контролируемым соединениям и (или) сообщениям
        электросвязи, в процессе установления соединений и (или) передачи
        сообщений электросвязи, в соответствии с заданными с ПУ следующими
        параметрами контроля:
        а) постоянный IP-адрес (IPv.4; IPv.6);5
        б) IP-адреса, определяемые по маске;
        в) имя учетной записи пользователя, используемое для идентификации
        пользователя услуг связи при доступе к сети передачи данных и
        телематическим услугам связи, в том числе с использованием служебных
        символов «*» и «?», где «*» – обозначает произвольную последовательность
        символов, а «?» – обозначает один произвольный символ;
        г) электронный почтовый адрес для всех почтовых сервисов с
        применением протоколов SMTP, POP3, IMAP4, не использующих средства
        защиты информации, включая криптографические;
        д) электронный почтовый адрес сервисов Web-mail указанных в
        приложении № 3 к Правилам, не использующих средства защиты
        информации, включая криптографические;
        е) телефонный номер пользователя (вызываемого и/или вызывающего);
        ж) идентификатор абонентской телефонной линии, используемый для
        идентификации пользователя услуг связи при доступе к сети передачи
        данных и телематическим услугам связи;
        з) идентификатор вызываемого и вызывающего пользователя услуг
        связи по передаче данных для целей передачи голосовой информации;
        и) международный идентификатор абонента сети подвижной связи
        (IMSI);
        к) международный идентификатор мобильного оборудования (IMEI);
        л) уникальный идентификатор оборудования сетей передачи данных
        (MAC-адрес);
        м) идентификатор служб обмена сообщениями, указанных в
        приложении № 3 к Правилам;
        н) мобильный идентификационный номер мобильной абонентской
        радиостанции (MIN).

        Собственно СОРМ хранит не данные сессии, а информацию о сессии :)
        • 0
          Требование к кольцевому буферу относится всё-таки к сырому траффику.
          Там ещё один пункт есть:
          4.11. По команде с ПУ повторную обработку данных из кольцевого буфера в соответствии с пунктом 4.4. Скорость повторной обработки данных должна быть не менее скорости записи.
          • +1
            СОРМ работает по запросу из органов, мониторингом «всея и всех» не занимается. Есть запрос — записываем весь трафик абонента, или только следим за перемещениями.
            • 0
              Думается, что должна быть специальная обработка по произвольным условиям. Например, конкретное мыло/твиттер/группу соцсети «слушают» и весь трафик от посетителей к себе заворачивают для обработки, но уже на уровне провайдера абонента.
              Если есть возможность на себя что-то завернуть, то СОРМ уже не такой тривиальный, как тупой сниффер, можно сделать.
    • +2
      Требования появились! Этож круто! Как я понимаю теперь не нужно покупать копеечный писюк у «аккрединтованных» контор за миллионы рублей. Можно купить и собрать самому :)
      • +2
        Ага, и сертифицировать его в Россвязи :)
        • 0
          … заплатив миллионы рублей :)
    • +3
      Уже сейчас на некоторых почтовых серверах под предлогом борьбы с вирусами запрещена пересылка запароленных архивов. Все идет к тому, что неконтролируемое правительством шифрование будет постепенно вытесняться вплоть до состояния, когда общество спокойно воспримет его законодательный запрет. То, чего так боялись в 90х, когда в Америке разрабатывались чипы Clipper.
    • 0
      это они ещё за IPv6 не брались, там вообще мрак полный! провайдеров ждут новые круги ада и спец. уровень с боссом.
    • +1
      Я могу ошибаться, но мне кажется, что слушать шифрованный трафик не имеет особого смысла. Gmail уже давно всем предлагает https соединение.

      Хочу отметить очень интересную тенденцию в интернете: много крупных ресурсов переходят на https (некоторые даже поумолчанию), примеры:
      * Google поиск (для авторизованных)
      * ВКонтакте
      * GitHub (возможно «не совсем в кассу»)
      и другие…

      Но все же! Постепенно крупные ресурсы переходят на защищенное соединение, которое слушать проблематично.

      P.S: буду признателен, если знающие люди разъяснят обстановку «с прослушкой» https трафика
      • 0
        Википедия ещё скоро перейдёт.

        Про атаку на SSL (MitM) читайте выше в комментариях.
        • +1
          Википедия уже очень давно работает по https, просто пока они не включают его по умолчанию.

          А вообще есть очень полезное расширение KB SSL Enforcer (Поищите в WebStore для хрома), для других браузеров есть аналоги. Если сайт поддерживает https, то расширение автоматически переключает вас на него.
          • 0
            Пользуюсь на Firefox HTTPS Everywhere + HTTPS Finder. Не самый удобный интерфейс («на этот сайт можно заходить через https! вы хотите всегда заходить через https?»), но работает.
        • 0
          Тут же начинает на сее радостно ругаться в таком случае браузер. Рядовой же пользователь, когда что-нить подобное увидит, то в страхе тут же окно закроет.
          • +2
            Практика показывает, что рядовой пользователь радостно нажимает на «всё равно принять сертификат»
      • 0
        китайский опыт показывает, что гитхаб более чем в «кассу»
    • 0
      Меня жутко интересует один вопрос — а денег на новые железки провайдерам Родина субсидирует или как раньше?
    • +2
      Что-то товарищи Вы путаете или может ситуация изменилась за последние 5-7 лет.
      Оператор, которому ставят СОРМ не отвечает за ПО системы СОРМ, он только покупает сервер нужной конфигурации, выделяет порт на своем оборудовании для подключения этого сервера (с случае Cisco порт ставится в режим mirror и на него сливается все что идет через этот маршрутизатор, то есть порт выделяется на основном пограничном маршрутизаторе оператора связи) и делает канал до пункта контроля (то есть ФСБ). Далее дяденьки из подведомственной ФСБ компании, собственно разработчики ПО СОРМ ставят и настраивают его, понятно дело что за счет оператора связи. Но сотрудники самого оператора не имеют права трогать этот сервер!
      А ПО кстате называется СОРМОВИЧ, называлось так лет 7 назад, не помню кто разработчик, какая то наша Российская контора.
      • 0
        ПО кстате называется СОРМОВИЧ

        СОРМович — разработка нижегородского МФИ Софт. Но это не ПО, а всё-таки аппаратно-программный комплекс, при том далеко не единственный, просто наиболее известный.
    • –1
      И самое важное, это ПО может сниферить и дешифровать очень многое из проходящего трафика. Понятно дело оно не дешифрует openvpn трафик с крипто-стойкими ключами или еще что-то крипто-устойчивое, но аська, мыла и т.п. читаются на раз-два-три.
    • 0
      Требования появились… пффф…
      Лучше бы наконец четко прописали, что СОРМ должна организовать ФСБ за свой счет. А провайдер лишь должен предоставить место.
      • +1
        Оно давно уже четко прописано
        Статья 19. Финансовое обеспечение оперативно-розыскной деятельности

        Обеспечение оперативно-розыскной деятельности, в том числе социальной и правовой защиты граждан, содействующих органам, осуществляющим оперативно-розыскную деятельность в соответствии с настоящим Федеральным законом, относится к расходным обязательствам Российской Федерации и осуществляется в порядке, устанавливаемом руководителями государственных органов, оперативные подразделения которых уполномочены осуществлять эту деятельность.

        Только с примерами, когда провайдеры не покупали сорм за свой счет, я лично не знаком.
        • 0
          ну почему же… вот был у нас рассово-верный провайдер, за именем Спарк. Достаточно неплохой, к слову был, да одна проблема — он был больше локальной сетью с выходом в интернет, чем провайдером( хоть и пришел из белокаменной). Т.е имел огромное количество сервисов внутрисети, чего стоит только его трекер (удобней и местами больше рутрекера), но не суть… просуществовали они лет7, а провайдер может получить лицензию на предоставление услуг связи либо купив, либо пообещав купить(в течении 5 кажется лет) СОРМ у ФСБ. В общем ближе к делу: не купили — дорого, продались ТТК, у тех уже все есть. на качестве пока почти не отразилось, но количество прыжков до внешнего мира увеличилось…
          • 0
            Я из-под Тулы, я знаю, что такое Спарк. =) Вообще, насколько я помню, никаких там обещаний официально нету. В теории, пока план чекисты не подпишут, работать вы не сможете. Да, можно какое-то время просуществовать без своего сорма, договариваясь со своим куратором. У кого-то получается это делать десятки лет, лол. Но в последнее время наметилась явная тенденция к сворачиванию халявы.
            • 0
              нуу я работал на аутсорсинге в Спарке, серваками рулил в свое время, с чекистам все более проще чем кажется: им необходимо и достаточно 1) выделенный порт в магистральном свитче 2) выделенная комната (отгороженны плексигласом аквариум в серверной тоже пойдет), для установки оборудования СОРМ, главное чтобы техники не имели доступ к оному 3)выделенный канал(читаем порт) до ближайшего отделения ФСБ 4) бумажка-обещание купить свое оборудование. После выполнения этих мер появляется возможность получения лицензии =)
    • 0
      i2p, товарищи, i2p
      • +1
        У меня во времена dial-up страницы быстрее открывало, чем через это i2p.
      • 0
        двойной (вход — в одном месте, выход — в другом) OpenVPN сервер — вполне достаточная защита
    • 0
      Не понял… требования в интересах СОРМ перехватывать трафик gmail, скажем, наткнутся на https. В результате провайдер, что, автоматом теряет лицензию?

      Более того, СОРМ сам разбирал пакеты, для этого ему копию трафика и отдают — при чем тут список контролируемых сайтов? Не провайдер же будет делать анализ трафика?
      • 0
        в некоторых случаях вполне прокатит и SSL striping
    • +1
      Я так полагаю пора на facebook уходить! Надеюсь туда руки не дотянутся!
      • 0
        Очень спорно.
        Попробуйте например из России открыть страничку Саакашвили: www.facebook.com/SaakashviliMikheil
        Из других стран открывается.
        • 0
          Из Германии по приведенной ссылке открывается www.facebook.com/home.php, из России с 3g тоже.
          • 0
            Странно, выходит, мы имеем дело с внутренним фильтром Фейсбука?
            Потому что например из Штатов, Израиля, и Украины открывается.
            Из других стран не пробовал.

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.